Scientific Linux セキュリティ更新:SL7.x x86_64 での unbound
medium Nessus プラグイン ID 87577
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
unbound にサービス拒否の欠陥が見つかり、攻撃者がこれを利用して unbound リゾルバー騙して委譲の無限ループを追跡させ、過剰なリソースを消費させる可能性があります。(CVE-2014-8602)
この更新は以下のバグも修正します:
- この更新の前は、unbound アンカーを呼び出してルートゾーンキーを更新させる cron ジョブの時間構成に誤りがありました。その結果、unbound アンカーは毎日ではなく月に 1 回呼び出され、 RFC 5011 に準拠していませんでした。cron ジョブが、毎日呼び出される systemd タイマーユニットに置き換えられました。現在、ルートゾーンキーの有効性は毎日 24 時間ウィンドウ内のランダムな時間でチェックされ、確実に RFC 5011 に準拠するようになりました。
- 以前、unbound パッケージは systemd-tmpfiles ユーティリティ用の構成ファイルを、/etc/tmpfiles.d/ ディレクトリにインストールしていました。その結果、/etc/tmpfiles.d/ の管理者によって unbound に対して行われた変更は、パッケージの再インストールや更新時に上書きされる可能性があります。このバグを修正するために、 unbound は構成ファイルを /usr/lib/tmpfiles.d/ ディレクトリにインストールするように修正されました。その結果、あらゆる変更を含む、/etc/tmpfiles.d/ におけるシステム管理者による構成は、パッケージの再インストールや更新時に保存されるようになりました。
- unbound サーバーのデフォルト構成には、DNSSEC Look-aside Validation(DLV)レジストリを使用する DNS レコードの検証が含まれていました。インターネットシステムコンソーシアム(ISC)は、DLV レジストリサービスを必要ないものとして廃止しようとし、unbound が不必要な手順を実行する可能性があります。このため、unbound サーバーのデフォルト構成から DLV レジストリの使用が削除されました。現在、unbound は DLV レジストリを使用する DNS レコード検証を試行しません。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 87577
ファイル名: sl_20151119_unbound_on_SL7_x.nasl
バージョン: 2.4
タイプ: local
エージェント: unix
公開日: 2015/12/22
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:fermilab:scientific_linux:unbound, p-cpe:/a:fermilab:scientific_linux:unbound-debuginfo, p-cpe:/a:fermilab:scientific_linux:unbound-devel, p-cpe:/a:fermilab:scientific_linux:unbound-libs, p-cpe:/a:fermilab:scientific_linux:unbound-python, x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2015/11/19
脆弱性公開日: 2014/12/11
参照情報
CVE: CVE-2014-8602